Korben - Site d'actualité geek et tech

Edito du 04/07/2017

Yo !

Il est temps de changer l'édito non ?

Bon, après ce mois de juin ultra génial, car j'ai rencontré pleins de gens cool, mais ultra crevant, je suis enfin de retour à la maison, avec, comme vous pouvez l'imaginer, un tas de trucs en retard à gérer. C'était chaud niveau mental parce que mon ordi principal de boulot est mort après 8 ans de bons et loyaux services, mes fourmis sont mortes (z'ont pas supporté le changement d'habitat), mes pieds de tomates sont morts et l'ensemble de mes défenses immunitaires sont mortes.

Mais après une semaine de coma dans le canap' et un gros traitement de choc à base de docus Netflix et de chocolat, il s'avère que suis toujours VIVANT, n'en déplaise aux cons. Et ma motivation qui n'était qu'un tas de cendre fumant il n'y a pas 2 jours, est en train de jaillir à nouveau des enfers de la matrice tel un Phoenix fait de métal fondu et de bits chatoyants.

Viva el doliprane libre, bon 4 juillet à tous les américains qui ont repoussé l'invasion alien en 1996 grâce à un virus et à très vite les amis !

K.

Devil’s Ivy – Une faille de sécurité dans gSOAP et potentiellement des millions d’objets connectés et de serveurs impactés

0

Les experts sécu de la société Senrio étaient en train d'auditer des caméras IP de la marque Axis quand ils sont tombés sur une faille dans la couche de communication de gSOAP. Pour ceux qui ne connaitraient pas, gSOAP est un outil open source utilisé pour développer des webservices.

Cette faille toute fraiche baptisée Devil's Ivy (CVE-2017-9765) permet à un attaquant d'exécuter du code à distance sur les serveurs. Toutefois, les clients peuvent aussi être touchés s'ils reçoivent des messages SOAP de serveurs vérolés. Si on reste sur l'exemple des caméras Axis, on peut grâce à cette faille accéder à un flux vidéo privé, voire même empêcher le propriétaire de la caméra d'accéder au flux.

gSOAP a été téléchargé plus d'un million de fois par des développeurs du monde entier et est très utilisé dans de nombreux projets, y compris dans de grosses boites comme Microsoft, IBM ou encore Adobe. Cela signifie que de nombreux autres logiciels ou objets connectés utilisant gSOAP peuvent eux aussi être affectés par Devil's Ivy.

Voici une démonstration vidéo de l'exploitation de cette faille sur une caméra Axis M3004 :

Senrio fait les recommandations suivantes pour se protéger :

  • Ne pas rendre dispo ses objets connectés, ses alarmes, caméras de sécurité et compagnie sur le net. Au premier juillet, Shodan indiquait plus de 14 700 caméras dôme Axis faillibles accessibles depuis n'importe où sur la planète.
  • Installer des systèmes de protection genre firewall devant vos objets connectés ou utiliser au moins du NAT pour réduire l'exposition et améliorer la détection d'éventuelles attaques
  • Patcher vos appareils dès que les constructeurs sortiront des mises à jour.

Ce dernier conseil m'amuse beaucoup dans on voit ce qui s'est passé avec EternalBlue... Donc j'imagine qu'on entendra à nouveau parler de Devil's Ivy, ou peu importe ses prochains noms, dans un futur relativement proche (quelques mois ?)

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
Sunberry - L'énergie solaire à la portée de tous

Produisez votre énergie et faites de grosses économies 

DIY addict, avec Sunberry, on vous propose d'assembler votre chauffage solaire Sunberry et de commencer à capter l'énergie gratuite du soleil pour chauffer votre maison, votre eau chaude ou votre piscine. La Sunberry App vous permet de suivre en direct votre production d'énergie solaire et le montant des économies réalisées, en toute autonomie. Le tout en opensource ;)

Découvrez Sunberry et bidouillez un max

En ce moment vous pouvez aussi profiter d'une réduction pour pouvoir fabriquer votre chauffage solaire à moindre coût. 39€ au lieu de 49€

Pour recevoir votre code de réduction c'est ici (email à rentrer sur le site de Sunberry)

Un bug sur le OnePlus 5 empêche d’appeler les urgences

3

Alors ça, c'est le bug qui fait tâche, et qui pourrait même être dangereux. Un internaute a remarqué que le OnePlus 5 n'était pas capable d'appeler les numéros d'urgence (Le 911) sans que l'application dialer (celle qui sert à composer les numéros) se plante lamentablement et le téléphone redémarre.

Démonstration :

OnePlus est informé et a publié le commentaire suivant :

"We understand many users on Reddit are waiting for the feedback from OnePlus. Here's the latest update that we can share with you: We have contacted the customer and are currently looking into the issue. We ask anyone experiencing a similar situation to contact us at support @ oneplus.net. Let me know if you have any questions. Thanks, David"

Bref, c'est en cours d'investigation. Je n'ai pas de OnePlus 5 donc je ne peux pas tester (et je n’ai pas non plus envie d'emmerder les pompiers ou la police) donc aucune idée si ça fait la même chose avec nos numéros d'urgence à nous. Mais d'après que ce que je comprends, il s'agit d'une incompatibilité entre le framework utilisé par le dialer et les dialers autres que l'officiel d'Android (dialer stock). Donc peu importe le numéro d'urgence, ça va planter pareil.

Edit 19/07/2017 : Certains Korbenautes m'indiquent que ça n'a pas planté sur leur téléphone. Peut-être que le souci touche que le 911... On verra si on en apprends plus dans les heures qui viennent.

En effet, le bug ne se produit pas avec le dialer stock d'Android et une mise à jour des Googles Apps pour installer le framework nécessaire à ces dialers suffirait à régler le problème. Je pense donc que OnePlus va régler ça assez rapidement.

Edit : 20/07/2017 : Problème corrigé par OnePlus

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Ce qu’il faut savoir avant de rejoindre une startup – #RjTalk

0

Philippe Tring, développeur dans la startup Plezi a réalisé une conf super sympa lors du dernier RJDay où il explique ce qu'est la vie dans une startup et comment choisir celle qui vous correspond le plus.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Patrick Beja – Artisan du podcast

2

Depuis plusieurs années, j'ai des tas d'idées de films, de documentaires et autres qui me trottent dans la tête et que j'aimerai vous montrer ici sur ce blog en attendant qu'un jour Netflix me contacte ;-))). Et l'année dernière j'ai eu la chance de rencontrer et de travailler avec Florian Belmonte que vous commencez aussi un peu à connaitre. Tout de suite, j'ai beaucoup accroché avec son travail qui était dans la ligne directe de ce que j'avais en tête. Je cherchais un réalisateur qui envoie pour faire le film et je lui ai donc proposé de bosser avec moi sur ce 1er projet de film.

J'ai alors imaginé une série de portraits de gens qui font le net, qui y contribuent et qui en sont les acteurs. Évidemment, tout ceci coûte de l'argent et j’ai autofinancé ce premier épisode d'abord parce que c'était un rêve de gosse de sortir un vrai film, mais aussi parce que j'espère qu'un maximum de monde le verra et que cela ouvrira des portes pour m'aider à en produire d'autres derrière. En tout cas, je l'espère.

Et pour le premier, il me fallait quelqu'un qui nous fasse confiance à Florian et moi et qui soit suffisamment à l'aise pour parler face caméra. J'ai shortlisté plusieurs personnes... connues et inconnues et je me suis arrêté sur Patrick Beja.

Pour ceux qui ne connaitraient pas encore Patrick, pour le présenter en 2 mots, c'est un podcasteur qui avait un bon poste chez Blizzard et qui a tout laché pour sa passion. Grâce à sa communauté, il peut maintenant en vivre et réalise plusieurs émissions comme Le Rendez-Vous Tech, Appload (à laquelle je participe), Le Rendez-Vous Jeux, Positron mais aussi des émissions en anglais comme The Phileas Club ou Pixels.

Nous avons tourné ce film en décembre 2016 à Paris, chez Patrick et Sonja, sa femme. Ils ont été très sympas, très patients et se sont vraiment prêtés au jeu du tournage. Ce fut un moment de partage dont vous retrouverez l'essence en regardant le film. S'en est suivi ensuite le montage où Florian a mis toutes ses tripes et surtout tout son talent et sa vision, accompagné d'Antoine Grelet qui nous a fait aussi un boulot formidable pour le mixage. Sans ces 2-là, le film n'aurait pas eu la même saveur. Merci à eux.

Redan a aussi fait un travail de composition des musiques formidable. Tout ce que vous entendrez est 100% original. Et mon ami Jérôme Keinborg a bien voulu me faire un petit habillage "Break The Rules" parfaitement classe que vous verrez aussi en début de film.

Notez aussi que les sous-titres FR et EN doivent arriver cette semaine ou la semaine prochaine.

Voilà, j'espère que ce bébé vous plaira. Si c'est le cas, n'hésitez pas à le partager sur vos réseaux sociaux, vos blogs ou à organiser des projections privées (ahah !).

Encore merci du fond du coeur à Florian qui a fait un boulot exceptionnel et qui a su donner vie à cette idée de film, mais aussi à Antoine, à Redan, à Jérôme, à Cédric, à Sonja et bien sûr à Patrick.

Bon visionnage à tous.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
Hacking Éthique : Un Cours Complet pour s'initier à la sécurité informatique

Apprenez la sécurité informatique pour vous protéger des cyberattaques - déjà + de 5000 inscrits

Vous découvrirez les "malwares" (trojan, keyloggers, backdoors...etc) les plus populaires et vous apprendrez à vous en défendre à l'aide de divers outils et méthodes. Vous apprendrez les concepts de base en Cryptographie et en Stéganographie. Vous aurez des notions de SSL/TLS, PGP, etc… Et tout ça en créant votre propre laboratoire de test pour pratiquer sans casser. Préparez-vous au métier de « responsable de la sécurité des systèmes d’information », de « consultant en sécurité informatique », ou à des certifications comme CEH (Certified Ethical Hacker)

Le cours est proposé aux lecteurs du blog à 10€ au lieu de 160€

Retour sur la GameCamp 2017, le grand rassemblement de l’industrie du jeu vidéo en France

1

Mercredi dernier a eu lieu le GameCamp 2017. Il s'agit d'une réunion réservée aux professionnel.le.s des métiers du Jeu vidéo. Florian Belmonte qui m'accompagne parfois sur ce genre d'événements, a pu rencontrer et partager un moment avec certaines de ces personnes.

Voici son récit. Merci à lui.

(suite…)

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

2 failles découvertes au niveau de NTLM – Pensez à patcher votre Windows

1

Si vous évoluez dans un environnement Windows, prenez le temps de lire cet article. 2 failles ont été découvertes dans le protocole de sécurité NTLM de Windows qui permettraient à un attaquant de créer des comptes administrateurs sur un domaine et donc d'en prendre le contrôle.

Pour rappel, NTLM (NT Lan Manager) est un ancien protocole utilisé pour ajouter sur un réseau des machines Windows. Depuis Windows 2000, Kerberos a remplacé NTLM mais ce dernier est évidemment toujours supporté par Microsoft et encore utilisé partout.

Voici une démo d'exploitation de ces failles portant sur le relai LDAP et RDP :

Heureusement, Microsoft a patché ces failles donc pensez bien à faire vos mises à jour avant que ce soit encore le bazar au prochain malware ;-)

Pour en savoir plus sur la faille et comment vous protéger, je vous invite à lire l'article de Preempt.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    <Dara> Hier je suis allée au cirque.
    <Oclapy> GENIAAAAL :D
    <Dara> Non, j'me suis ridiculisée.
    <Oclapy> On a l'habitude... ^^' Raconte !
    <Dara> Bah y a avait tout plein d'animaux, et pour annoncer le prochain, le mec dit "l'animal qui suit s'appelle comme un célèbre chanteur français, c'est Serge ..." alors tout le monde crie "LAMA" et moi toute seule "GAINSBOUUUUUUUUUUUURG". T_T
    <Oclapy> No comment (8)

    -- http://danstonchat.com/12020.html
  • RSS Emplois sécurité

  • Streamer Nuprime WR100

    129 €

    Le WR-100 vous permet de diffuser de la musique en haute qualité partout dans la maison, via votre réseau (NAS), via les services musicaux, ou la musique stockée sur votre appareil mobile.

    Le WR-100 dispose d’une application dédié NuPrime telechargeable sur les plateformes Apple et google. compatible DLNA/Renderer


    En Savoir +

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Glasswire – Pour garder un oeil

    sur votre activité réseau

    Si vous êtes curieux et que vous voulez savoir comment ça se passe niveau bande passante sur votre ordinateur Windows, voici un petit freeware qui va vous rendre bien service.
    Appelé Glasswire, cet outil propose des fonctionnalités de visualisation

    Une astuce pour rendre Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.
    Cliquez dans la zone de